병원 지속 성장 위해 보안성 검토는 선택 아닌 ‘필수’

경우호 서울아산병원 CISO, 의료기관 안정성 확보 보안성 검토 사례 발표 암호화 통신, 가명처리 적정성, 클라우드 환경 업그레이드 등으로 보안 강화 절차 간소화, 수작업 최소화, 문서 첨부 자동화 도입 통해 효율성 높일 예정

2024-11-06     정윤식 기자
경우호 서울아산병원 CISO가 10월 31일 열린 병원정보보안협회 추계학술대회에서 서울아산병원의 사례를 들며 보안성 검토의 중요성에 대해 발표하고 있다. ⓒ병원신문.

병원의 안전한 진료와 지속 가능한 성장을 위해서는 보안성 검토가 선택이 아닌 필수라는 조언이 실제 경험을 바탕으로 제시됐다.

경우호 서울아산병원 정보보호최고책임자(CISO)는 10월 31일 연세대학교 에비슨 의생명 연구원에서 열린 ‘병원정보보안협회 2024년 추계세미나(Securing the Future)’를 통해 이같이 설명했다.

이날 경우호 CISO는 의료기관의 정보보호 강화를 위한 보안성 검토의 중요성을 강조하기 위해 서울아산병원의 구체적인 사례를 소개했다.

병원과 같은 의료기관은 방대한 환자 정보를 다루기 때문에 정보 유출 방지와 안정적 시스템 운용이 무엇보다 중요하다.

경우호 CISO는 “의료기관의 정보시스템이 공격에 노출되지 않도록 하는 것은 환자의 안전과 직결된 문제”라며 “서울아산병원은 그간 정보시스템 및 소프트웨어의 보안 취약점을 사전에 파악하고 제거하는 과정을 의미하는 보안성 검토를 시행해왔다”고 말했다.

행정안전부의 정보화 업무 처리 규정과 보안지침에 따르면 보안성 검토는 정보화 사업계획 수립 단계에서부터 필수적으로 이행돼야 한다.

특히, 의료기관의 경우 초기 기획부터 보안 대책을 세우는 것이 좋다는 게 경우호 CISO의 설명이다.

실제로 서울아산병원은 정보시스템 도입 및 변경 시 보안성 검토 절차를 철저히 이행한 것으로 유명하다.

보안성 검토는 단계별 특징이 있는데, 우선 기획 단계에서는 내부 규정과 지침이 정보보호 측면에서 적절히 반영되는지를 확인하고, 설계·구현 단계에서는 물리적·기술적 점검을 통해 보안 취약점을 제거해 시스템이 안전하게 작동할 수 있도록 한다.

또한 서울아산병원은 시스템 요청(System Request, SR)을 통해 보안성 검토 절차를 관리하고 있으며 사용자 요청 시 정보보호실에서 점검을 진행하는 방식으로 추가적인 전산화 단계를 도입했다.

이 과정에서 각 부서와의 협업은 보안 조치를 효율적으로 관리할 수 있도록 돕는 역할을 한다고 강조한 경우호 CISO다.

경우호 CISO는 △정보시스템의 암호화 통신 △가명처리의 적정성 △클라우드 환경의 보안 요구사항 검토 등 서울아산병원이 시행한 다양한 보안성 검토사례도 공유했다.

서울아산병원은 환자 정보가 안전하게 전송되도록 비대면 플랫폼에 암호화 통신을 적용했다.

경 CISO는 “VCB 클라우드 서버와 DMZ 내 VCB Gateway 간의 암호화 통신을 통해 환자 등록 정보가 안전하게 보호되도록 했다”며 “보안 요구사항을 준수하기 위해 SSL, IPSEC, AWS Direct Connect 등의 암호화 방식도 탑재했다”고 전했다.

가명처리는 연구계획서와 데이터 제공 방식을 엄격히 일치시키는 적정성 검토 즉, 데이터 보호를 위한 다층적 접근이 핵심이다.

경 CISO는 “연구 목적에 따라 가명처리 수준을 맞추고 공동연구기관과의 계약 여부를 철저히 확인해야 한다”고 조언했다.

클라우드 보안성 검토에 엄격하고 높은 기준을 적용한 것도 회원정보 보호를 위한 서울아산병원의 조치였다.

그는 “클라우드 서비스의 아키텍처와 보호 통제 항목을 면밀히 검토해 보완이 필요한 사항에 대해서 조치 계획을 세우고 이행 증적을 기록했다”며 “회원정보 파기 절차를 마련해 개인정보 보호를 강화했다”고 언급했다.

경우호 CISO의 설명에 의하면 서울아산병원은 향후 보안성 검토 절차를 더욱 간소화하기 위해 자동화 및 전산화에 초점을 맞추고 있다.

절차 간소화, 수작업 최소화, 문서 첨부 자동화 등을 통해 검토 효율을 높인다는 것인데 2025년까지 전 단계 전산화를 목표로 보안성 검토 체계를 업그레이드하겠다는 게 서울아산병원의 계획이다.

아울러 서울아산병원은 보안성 검토 절차를 IT와 실무 현업 담당자 간의 협업 체계로 관리해 조직 차원의 보안 인식을 제고하는 것에도 중점을 두고 있다.

이는 병원의 안전한 진료 환경 구축과 안정적인 정보보호 시스템을 확립하는 데 이바지할 것으로 기대된다는 이유에서다.

경 CISO는 “병원의 안전한 진료와 지속적인 성장을 위해서는 보안성 검토가 필수”라며 “앞으로도 정보보호 체계를 지속해서 발전시켜 나가 병원계가 보안성 검토를 적극적으로 도입하고 강화해 나가는 데 긍정적인 영향을 주겠다”고 덧붙였다.